CASBとは

メールやスケジュール管理をはじめ、書類の作成、取引先や顧客情報の管理、請求書発行や経費計算など、クラウドを利用しない日はないと言っても過言ではありません。

便利なクラウドサービスですが、企業として気をつけなければならない点もあります。それは、クラウドサービスに対する企業の管理が行き届かなくなることで、潜むリスクが顕在化すること。いわゆる「シャドーIT」の問題です。

例えば、ファイル共有サービスに顧客の個人情報を勝手にアップロードして、公開設定の誤りから情報が漏えいするケース。あるいは、複数のサービスへのログインパスワードに共通の簡単なパスワードを設定して、すべてのサービスのアカウントが乗っ取られてしまうケース。こうした事態に対処するには、企業側がクラウドサービスへのアクセス方法や設定方法を一元的に管理することが重要です。

これは簡単なようで難しい問題です。なぜならば、クラウドサービスの管理は、従来のセキュリティー管理の方法とは異なるアプローチが求められるからです。従来のセキュリティー管理では、社内と社外に明確な境界を設け、社外からの不正なアクセスをいかに防御するかにフォーカスしていました。一方、クラウドサービスは、スマートフォンのアプリのように、基本的に社外のサービスに対して社外からアクセスすることが前提です。従来の仕組みでは、クラウドサービスに潜むリスクに対処できないことが多いのです。

そのような中、広まってきたのがセキュリティー管理をクラウド上のプラットフォームで行うというアプローチです。これにより、オンプレミスからクラウドまでを統合的に管理できるようになり、セキュリティーの要件ごとにさまざまな機能を提供することができるようになります。セキュリティー管理も「クラウドシフト」が進んでいるのです。

クラウドサービスを管理するプラットフォームのなかでも重要な機能の1つに数えられるのが「クラウドアクセスセキュリティーブローカー(CASB: キャスビー)」です。CASBは、クラウドサービスへのアクセスを把握し、適切に管理することで、クラウドに潜むさまざまなセキュリティーリスクに対処できるようにするものです。

CASBは米ガートナーが2012年に提唱した考え方に基づいています。ガートナーでは「クラウドサービスの使用を開始する際に、そのサービスが安全かどうかを確認できたり、ユーザーがどのクラウドサービスをどのくらい利用しているかを可視化、細かなアクセス制御、データ保護などを行うことができるもの」と説明しています。^※1

CASBが提供するセキュリティー機能としては「可視化」「脅威防御」「コンプライアンス」「データ保護」の4つです。

どのユーザーがどんなアプリケーションを使ってどんなサービスにアクセスしているかを分かりやすく表示する機能です。例えば、ファイル共有サービスに大量のデータを送信しているユーザーや、会社が利用を禁じたサービスを利用しているユーザーなどを見つけることができます。

クラウドサービスに潜む脅威をブロックする機能です。例えば、リスクの高いクラウドサービスにユーザーがアクセスすることを禁じたり、マルウエアに感染する恐れのある不正サイトへのアクセスをブロックできます。

ルールを設定して企業のポリシーに応じた対処をできるようにする機能です。例えば、ファイル共有サービス上で不適切な公開設定が行われたことをアラートしたり、しきい値を超えた大量データの送信を見つけて停止できます。

データに関するセキュリティー機能です。例えば、ファイルの暗号化を行ったり、データの漏洩や改ざんの検知を行います。

ガートナーが提唱して以来、様々なベンダーがCASB市場に参入し、特徴あるサービスを提供するようになりました。なかでも、数多くの企業に採用され評価が高いCASBとして知られているのが、米McAfee社の「McAfee Skyhigh Security Cloud™」と、米Netskope社の「Netskope® Active Platform」です。

可視化機能が優れていることが特徴です。世界中の代表的なクラウドサービスの情報をデータベース化し、それぞれのリスク分析を行って、サービスの"危険度"を9段階で表示します。管理画面からは、利用しているサービスごとに、ユーザー数やアップロードされたデータ量などをリスト表示することができます。

データ保護機能に特徴があります。データの暗号化や、機密情報を含むデータの送受信を検知し、データ損失の恐れがある場合にブロックします。ファイル共有サービス上での不正の検知や、マルウエア、ランサムウエアの検知も可能です。

こうしたCASBサービスを導入する際には、セキュリティー対策の現状や、今後予定されている取り組みを踏まえ、必要な機能を適切に実装していくことが求められます。お客さまが最も戸惑われる部分です。ユニアデックスは、数々のCASBサービスの特徴を理解し、企業の顕在・潜在ニーズに合わせたソリューションとして提供することができます。特にSkyhighにおいては、提供開始1年で国内10万ID利用をサポートした実績があります。CASBエンジニアの育成、PoC実施でも数多くの事例があり、導入後に課題となる運用までを強力にサポートします。

また、ユニアデックスでは、CASBを「導入する」だけでなく、PoCによる評価やアセスメント、チューニングや設定代行、レポーティング、ポリシー策定支援など、企業がクラウドセキュリティーを確保していくうえで必要なことをトータルで提供しています。CASBで可視化することで課題が顕在化し、さらにCASBで課題解決に向けたコントロールを行えますが、企業のポリシーへの反映や運用プロセスへの組み込みを視野に入れることで、よりCASBの導入価値を高めることが可能になります。ユニアデックスはこれらの支援を行うことが可能です。

クラウドサービスの普及で、セキュリティーリスクが予想以上に高まっている昨今。McAfeeやNetskopeの調査では、従業員3000名規模の企業において平均1000～1500種類のクラウドサービスが検出され、そのうち「ハイリスク」と判定されているサービスは50～60種類にも及ぶことがわかっています。企業はシャドーITなどによって引き起こされるリスクを、早急かつ適切に管理していくことが求められているのです。